Qué es un Wallet Drainer y Cómo Protegerte de Esta Estafa

El wallet drainer se ha consolidado como una de las amenazas más extendidas para los usuarios de wallets de autocustodia, sobre todo en el ecosistema de Ethereum (ETH) y las redes compatibles. A diferencia del robo clásico de claves, este fraude no necesita adivinar ninguna contraseña ni la frase semilla: logra que la propia víctima firme la transacción que autoriza el saqueo. El daño, además, suele ser total y simultáneo sobre todos los activos de la cartera.

Vale aclarar que el atacante no rompe nada del protocolo. Explota una función legítima de las finanzas descentralizadas (DeFi): la capacidad de delegar en un contrato el permiso para gastar tokens. El drainer convierte esa función, diseñada para que las aplicaciones funcionen, en el mecanismo exacto del robo.

Qué es exactamente un wallet drainer

Un wallet drainer es un kit de software malicioso que se inserta en una web fraudulenta —una falsa página de un airdrop, un mint de NFT o un sitio clonado de un proyecto conocido— y que, cuando el usuario conecta su wallet, le presenta una solicitud de firma diseñada para parecer rutinaria.

Cabe destacar que estos kits se comercializan como un servicio (modelo «drainer-as-a-service»): sus desarrolladores ceden el script a operadores menos técnicos a cambio de un porcentaje del botín. Esa industrialización explica por qué el mismo patrón aparece, casi idéntico, en miles de webs trampa.

Cómo opera un wallet drainer paso a paso

El ataque sigue una secuencia predecible. Primero, el cebo: un anuncio patrocinado, un mensaje directo o un airdrop que dirige a la víctima a una web preparada, casi siempre con un disparador de urgencia («reclama antes de que termine»).

Después, la conexión. El usuario enlaza su wallet al sitio, un gesto inofensivo en sí mismo. El paso decisivo llega a continuación: la web solicita una firma que la víctima aprueba creyendo que «reclama» un token o «verifica» la cuenta, cuando en realidad está concediendo permiso de gasto al atacante. En cuanto la firma se confirma, el script transfiere los fondos a las direcciones del atacante en segundos, priorizando los activos de mayor valor.

La aprobación de token: la firma que lo vacía todo

El núcleo del fraude es la aprobación de token (token approval), una función estándar que permite que un contrato gaste tus tokens en tu nombre. Es lo que hace que un exchange descentralizado pueda ejecutar un intercambio sin que apruebes cada operación por separado.

El problema aparece cuando esa aprobación se concede a un contrato malicioso, a menudo sin límite de cantidad: una sola firma basta para autorizar el gasto de la totalidad de un token. El drainer aprovecha además el mensaje «permit», una firma fuera de la cadena (gasless) que concede ese mismo permiso sin coste de gas y, por tanto, con menos señales de alarma para la víctima. La distinción es clave: una transferencia mueve fondos una vez; una aprobación entrega una llave permanente hasta que se revoca, y esa llave es lo que el atacante usa para vaciar la cartera cuando le conviene.

Revocar aprobaciones de contratos: la limpieza imprescindible

La buena noticia es que cualquier aprobación concedida puede retirarse. Existen herramientas de revocación de aprobaciones que listan todos los permisos activos de una wallet y permiten cancelarlos, lo que corta de raíz el acceso de un contrato a los fondos.

Cabe recordar que revocar una aprobación es en sí mismo una transacción on-chain y consume gas. La rutina recomendable es auditar los permisos de forma periódica y revocar de inmediato cualquiera concedido a un sitio desconocido o que ya no se utiliza, en especial las aprobaciones de cantidad ilimitada.

Cómo blindar la wallet frente a un drainer

La defensa frente a un wallet drainer es metodológica. La medida más eficaz es leer cada solicitud de firma antes de aprobarla: si una web pide un permiso de gasto cuando solo deberías estar conectándote o reclamando algo gratuito, ahí está la bandera roja. Las wallets modernas muestran qué autoriza cada transacción; conviene no ignorar ese aviso. Estas prácticas reducen drásticamente la exposición:

• Usar una wallet «quemada» con fondos mínimos para interactuar con airdrops, mints o proyectos nuevos, y reservar la wallet principal para custodia.
• Verificar la URL carácter por carácter y llegar siempre desde un marcador propio, nunca desde un enlace recibido.
• Custodiar las claves en una wallet de hardware, que obliga a confirmar físicamente cada firma y muestra su contenido en pantalla.
• Revocar aprobaciones con regularidad y desconfiar de todo permiso ilimitado.
• No interactuar con tokens que aparecen en la wallet sin motivo: ese es el cebo del airdrop malicioso.

Vale destacar que el drainer comparte raíz con otras de las estafas más comunes con criptomonedas. Reconocer el lenguaje del engaño ayuda a detenerlo: la guía sobre cómo detectar el phishing en cripto y el repaso a los riesgos de los contratos inteligentes completan el mapa de amenazas. Para los términos técnicos —aprobación, permit, frase semilla—, el glosario de criptomonedas sirve de apoyo.

Sin embargo, el catálogo de los drainers no es estático y su sofisticación podría crecer al ritmo de las firmas gasless y de interfaces cada vez más difíciles de distinguir de las legítimas. La protección, en cambio, apenas cambiaría: en los próximos años seguirá dependiendo de si el usuario interioriza el hábito de leer lo que firma y revocar lo que sobra, o si delega esa decisión en la apariencia de la web, que es justo donde el drainer trabaja mejor.

Aclaración: este artículo es información general sobre seguridad con criptomonedas y no constituye recomendación financiera ni de inversión. Ninguna transacción confirmada on-chain puede revertirse; verifica siempre la URL, lee cada solicitud de firma y revoca las aprobaciones que no utilices antes de operar.